RGPD et sécurité des données

Authentifier les utilisateurs

Première étape de la sécurisation du système d’information : personnaliser les accès, et sécuriser la connexion.

CONNEXION PAR LOGIN ET MOT DE PASSE SÉCURISÉ

Comment définir un mot de passe sécurisé ? Voici ci-dessous un exemple des instructions pour les utilisateurs de Diapaz.

CONTRÔLE DES ACCÈS VIA UN ANNUAIRE D’AUTHENTIFICATION

Cet annuaire recense toutes les données qui permettent d’authentifier un utilisateur : données d’identification, date de création de l’utilisateur dans Diapaz et politique de mots de passe.
Véritable carte d’identité de l’utilisateur, il n’est accessible que par les personnes habilitées au sein de Xelya.

Gérer les habilitations

Il s’agit ici de permettre à chaque utilisateur d’accéder uniquement aux données qui lui sont nécessaires. En général, on pense facilement à limiter l’accès aux données liées à la paie. Cela peut bien évidemment aller plus loin, et également évoluer dans le temps.

PROFILS DE PERMISSION

Au sein du logiciel, une personne habilitée pourra gérer les permissions pour chaque utilisateur.

RESTRICTION D’ACCÈS AUX FICHIERS

De même que dans le logiciel, la gestion des permissions peut également se faire au niveau du serveur de fichiers. Si besoin, il est même possible de distinguer des droits de lecture, d’écriture ou de suppression en fonction des fichiers et des profils. Au sein du cabinet, seules les personnes habilitées pourront donner les instructions de gestion des droits à Xelya.

Sécuriser les postes de travail

L’infogérance des postes de travail de l’ensemble de vos collaborateurs doit être au cœur de la réflexion de mise en conformité RGPD. En effet, les risques d’intrusion dans les systèmes informatiques sont importants et le principal point d’entrée est le poste de travail. Son champ d’action est complet avec notamment les fonctionnalités suivantes : anti-virus, anti-malware, navigation sécurisée, pare-feu, contrôle d’application, contrôle des périphériques.

ANTI-VIRUS

Xelya utilise Bitdefender avec un système d’alertes en temps réel via un outil de supervision. En interne comme chez nos clients, ce système est installé sur les ordinateurs et les serveurs. 

VERROUILLAGE AUTOMATIQUE DE SESSION

Dans l’idéal, chaque utilisateur devrait verrouiller sa session dès qu’il quitte son poste de travail -même pour quelques instants. De cette manière, la connexion à l’ordinateur est impossible sans le mot de passe de l’utilisateur. Pour parer les oublis, Xelya force automatiquement le verrouillage de la session au bout d’un certain temps d’inactivité.

GESTION DES DROITS ADMINISTRATEURS

Dans le souci d’éviter l’installation de logiciels malveillants par inadvertance, Xelya limite par défaut les droits des utilisateurs : l’installation de nouveaux logiciels est supervisée par Xelya.

Protéger le réseau informatique interne

Pour mieux maîtriser la sécurité des données qui y sont conservées, les accès au réseau doivent être limités et les réseaux eux-mêmes doivent être distingués.

RÉSEAU WIFI

Afin d’assurer une meilleure protection, Xelya met en place un réseau Wifi sécurisé et propose des réseaux distincts pour la production et pour les invités.

ACCÈS À DISTANCE

Pour que les collaborateurs puissent se connecter en télétravail ou lors d’un déplacement tout en restant dans un espace protégé, Xelya propose un accès aux données via un VPN (Virtual Private Network) sécurisé.

La concurrence accrue, l’inter-professionnalité, la transformation numérique et l’arrivée des legaltechs sont à l’origine de profondes mutations dans la vision du cabinet d’avocat. De plus en plus, le cabinet doit se comporter comme une entreprise de services, avec des impératifs de productivité.

Pour se différencier, les outils informatiques sont un véritable atout. Faites le choix d’un logiciel innovant et structurant pour vous faire gagner un maximum de temps au quotidien. Pour aller plus loin, bénéficiez d’une productivité augmentée grâce à l’intégration du logiciel avec des outils complémentaires : téléphonie, messagerie électronique, stockage de documents et maintenance informatique. Tous ces services modulables convergent pour une expérience unique de fluidité et de flexibilité, adaptée à toutes les tailles de cabinets.

Sécuriser l’infrastructure

Les données stockées par Xelya (dans le logiciel Diapaz comme dans les mails, serveurs de fichiers, etc.), sont hébergées dans le cloud. Elles sont donc à la fois consultables depuis là où vous le souhaitez, mais cela a aussi un avantage pour leur sécurité. Elles sont stockées dans des datacenters ultra-sécurisés et sauvegardées à de multiples endroits pour limiter les risques.

SÉCURISATION PHYSIQUE

Les données stockées par Xelya sont hébergées dans des datacenters avec un haut niveau de sécurité : contrôle des accès physiques, alimentation électrique redondée (un réseau de secours peut prendre le relais en cas de panne), climatisation redondée, vidéo-surveillance… Xelya a choisi les datacenters Telehouse 2 et Azure France, tous situés en France et tous certifiés par la norme ISO 27001 sur la sécurisation des systèmes d’information.

Tracer les accès

En tant que Responsable de traitement, vous devez être en mesure d’identifier d’éventuels accès frauduleux ou utilisations abusives des données personnelles. En utilisant les outils Xelya, vous pourrez bénéficier d’une historisation des accès et modifications pour pouvoir parvenir à cette fin.

HISTORIQUE DE CONNEXION

Chaque utilisateur peut à tout moment accéder à son historique de connexion au portail, ainsi que les appareils depuis lesquels la connexion a eu lieu. Cela permet à chacun de contrôler les accès à son compte.

De plus, Xelya conserve une copie de tous les historiques de connexion de ses utilisateurs (accessible uniquement par les personnes habilitées). Ceci permet par exemple de détecter et d’alerter un utilisateur à chaque connexion à son compte depuis un appareil inconnu. L’utilisateur peut ensuite agir plus rapidement s’il n’est pas à l’origine de cette connexion.

Xelya, en tant que sous-traitant, est co-responsable des données que vous stockez dans ses services.

CONFORMITÉ AU RGPD

Xelya s’engage via des conditions particulières d’utilisation liées aux données personnelles, comme exigé par le RGPD. La société dispose d’un DPO (Data Protection Officer) et d’un RSSI (Responsable Sécurité des Systèmes d’Information) et a fait le nécéssaire pour se mettre en conformité avec le RGPD.

De plus, Xelya s’engage dans une démarche de certification ISO 20000, ISO 27001 et ISO 27018, ces deux dernières se focalisant sur le contrôle de sécurité et sur la protection des données dans le Cloud. Il est important de noter que la norme ISO 27018 permet notamment de se conformer aux exigences du RGPD.

Encadrer les développements informatiques

Au-delà des dispositions sur la sécurisation des postes de travail de ses développeurs, Xelya se conforme aux normes de la profession: l’environnement de test est distinct de la production, des tests qualité réguliers sont réalisés, ainsi que des procédures pour la gestion des évolutions.

Sécuriser les échanges

Diapaz utilise le protocole HTTPS sur ses sites de services avec une couche de chiffrement TLS (Transport Layer Security, protcole de sécurisation des échanges sur internet).

Sauvegarder et prévoir la continuité d’activité

Malgré toutes les précautions, une disparition non-désirée des données pourrait survenir. Dans ce cas, l’activité doit pouvoir continuer sans en être affectée.

PLAN DE CONTINUITÉ ET DE REPRISE D’ACTIVITÉ

Xelya, en tant que sous-traitant stockant des données, a mis en place un plan de continuité. Ce plan consiste à mettre en place des procédures et des outils, afin de limiter l’impact d’une perte de données sur l’activité du cabinet. Par exemple, les données sont stockées dans plusieurs datacenters (comme nous l’avons vu plus haut). Chez nos clients, nous installons également 2 accès internet. Ainsi en cas de panne de l’un, l’autre prend le relais.

SAUVEGARDES ET TESTS DE RESTAURATION

Les données sont toujours répliquées à plusieurs endroits, les serveurs sont redondés. Les sauvegardes se font automatiquement à intervalles réguliers, et des tests de restauration sont effectués également de manière régulière.

Archiver de manière sécurisée

Certaines données ne sont plus utiles à l’activité, mais doivent être conservées pour diverses raisons (souvent simplement pour des raisons légales, ou statistiques).

SAUVEGARDE

Les données sont sauvegardées avec une possibilité de restauration sur 30 jours.

Xelya, en tant que sous-traitant, est co-responsable des données que vous stockez dans ses services.

CONFORMITÉ AU RGPD

Xelya s’engage via des conditions particulières d’utilisation liées aux données personnelles, comme exigé par le RGPD. La société dispose d’un DPO (Data Protection Officer) et d’un RSSI (Responsable Sécurité des Systèmes d’Information) et a fait le nécéssaire pour se mettre en conformité avec le RGPD.

De plus, Xelya s’engage dans une démarche de certification ISO 20000, ISO 27001 et ISO 27018, ces deux dernières se focalisant sur le contrôle de sécurité et sur la protection des données dans le Cloud. Il est important de noter que la norme ISO 27018 permet notamment de se conformer aux exigences du RGPD.

Xelya, en tant que sous-traitant, est co-responsable des données que vous stockez dans ses services.

CONFORMITÉ AU RGPD

Xelya s’engage via des conditions particulières d’utilisation liées aux données personnelles, comme exigé par le RGPD. La société dispose d’un DPO (Data Protection Officer) et d’un RSSI (Responsable Sécurité des Systèmes d’Information) et a fait le nécéssaire pour se mettre en conformité avec le RGPD.

De plus, Xelya s’engage dans une démarche de certification ISO 20000, ISO 27001 et ISO 27018, ces deux dernières se focalisant sur le contrôle de sécurité et sur la protection des données dans le Cloud. Il est important de noter que la norme ISO 27018 permet notamment de se conformer aux exigences du RGPD.

PROCÉDURES SPÉCIFIQUES

Xelya a mis en place un comité de sécurité mensuel. Lors de ce comité, sont revus systématiquement la gestion des incidents, la gestion de la capacité et la gestion des risques. Le traitement des risques est issu de la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), définie par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).

Sécuriser les échanges

Nous avons vu que de nombreuses dispositions sont prises pour protéger les données sur site (sur les sites Xelya comme sur ceux de ses clients). Il faut également s’assurer que les données échangées avec des personnes extérieures soient également sécurisées.

ANTI-SPAM

Près de 90% des mails échangés sur internet sont du spam. Au niveau de la messagerie (e-mails), Xelya dispose d’un anti-spam, constamment maintenu et mis à jour. Il s’agit d’un filtre de sécurité paramétré par Xelya et développé par LibraEsva afin de bloquer la réception des spams ou des mails vérolés. L’utilisateur reçoit ensuite un mail l’informant de la mise en quarantaine des mails suspicieux. Il peut choisir de les supprimer, ou de les libérer.

Le système dispose également d’un dispositif d’anti-phishing et d’anti-spoofing.

DATA-ROOM

Xelya propose un service de data room électronique sécurisée avec traçabilité des accès. Lors du partage de fichier avec une personne extérieure, l’utilisateur peut choisir le niveau et la durée d’accès au document.